💼 Management Samenvatting
Een doordacht en juridisch geborgd retentiebeleid bepaalt welke informatie binnen Microsoft 365 hoe lang wordt bewaard, wanneer vernietiging plaatsvindt en hoe archiefwaardige documenten duurzaam toegankelijk blijven. Voor Nederlandse overheidsorganisaties is een professioneel ingericht retentiebeleid onmisbaar om aan Archiefwet, AVG, BIO en NIS2 te voldoen én tegelijkertijd een werkbare digitale werkomgeving voor medewerkers te bieden.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
130u (tech: 50u)
Van toepassing op:
✓ M365
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Teams
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Exchange Online
✓ SharePoint Online
✓ OneDrive
✓ Teams
✓ Publieke Sector
✓ Overheidsorganisaties
Zonder expliciet retentiebeleid ontstaan in de praktijk twee ongewenste extremen: óf alles wordt onbeperkt bewaard en de tenant groeit ongecontroleerd vol met persoonsgegevens, conceptversies en verouderde dossiers, óf individuele beheerders en gebruikers verwijderen ad‑hoc informatie zonder rekening te houden met wettelijke bewaarplichten. Beide scenario’s zijn problematisch voor overheidsorganisaties. Onbeperkte bewaring leidt tot verhoogde privacyrisico’s, hogere opslag- en beheerkosten en grote moeite om bij WOO‑verzoeken, onderzoeken of parlementaire enquêtes snel en volledig relevante informatie te vinden. Te vroege of ongecontroleerde vernietiging ondermijnt daarentegen de bewijspositie van de overheid, verstoort de reconstructie van besluitvorming en kan leiden tot schending van de Archiefwet. Daarnaast verwachten toezichthouders dat bewaartermijnen niet alleen in beleid zijn vastgelegd, maar aantoonbaar zijn vertaald naar concrete maatregelen in de Microsoft 365‑tenant.
PowerShell Modules Vereist
Primary API: Microsoft Purview (Security & Compliance PowerShell)
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-IPPSSessionRequired Modules: ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe Nederlandse overheidsorganisaties een samenhangend retentiebeleid voor Microsoft 365 ontwerpen, vastleggen en technisch implementeren. We starten bij governance: welke rollen zijn betrokken, hoe wordt het bewaarschema vastgesteld en hoe wordt de samenhang met records management georganiseerd. Vervolgens gaan we in op de vertaling van juridisch en beleidsmatig kader naar concrete retentiecategorieën en ‑policies in Microsoft Purview Data Lifecycle Management. We laten zien hoe u generieke en specifieke policies combineert, hoe u rekening houdt met blijvend te bewaren archief, uitzonderingen en juridische holds, en hoe u voorkomt dat beleid onnodig complex of onbeheerbaar wordt. Tot slot behandelen we de borging: documentatie, training, change‑processen en de rol van geautomatiseerde controles met het gekoppelde script `retention-policies.ps1`, zodat bestuurders, CISO, FG en informatiebeheerders op elk moment een helder beeld hebben van de gekozen retentiestrategie.
Governance, juridische basis en rolverdeling
Een volwassen retentiebeleid begint niet in het Purview‑portaal, maar aan de beleids- en bestuurstafel. Binnen Nederlandse overheidsorganisaties spelen verschillende functionarissen een cruciale rol: bestuur en directie bepalen de strategische koers, de CISO en informatiebeveiligingsadviseurs bewaken de aansluiting op BIO en NIS2, de Functionaris Gegevensbescherming (FG) kijkt vanuit AVG‑perspectief naar dataminimalisatie en bewaartermijnen, terwijl archivarissen, informatiebeheerders en juristen verantwoordelijk zijn voor de interpretatie van de Archiefwet en sectorale selectielijsten. Samen vormen zij een governance‑structuur waarin duidelijk is wie welke besluiten neemt, wie eigenaar is van het bewaarschema en hoe vaak beleid wordt herzien. Dit governance‑model wordt expliciet vastgelegd, inclusief escalatieroutes en besluitvormingsprocessen, zodat helder is hoe nieuwe informatiecategorieën, projecten of wetgevingswijzigingen hun weg vinden naar het retentiebeleid.
De juridische basis voor retentiebeleid bestaat uit een combinatie van Archiefwet, AVG, specifieke sectorale regelgeving (bijvoorbeeld zorg- of belastingwetgeving), interne beleidsdocumenten en afspraken met ketenpartners. Deze bronnen vertalen zich naar een bewaarschema: een systematische opsomming van informatietypen met bijbehorende bewaartermijnen en classificatie als blijvend te bewaren, tijdelijk te bewaren of vroegtijdig te vernietigen. In plaats van dit schema als losstaand document te behandelen, wordt het nadrukkelijk gekoppeld aan de technische realiteit van Microsoft 365. Dat betekent dat voor elk informatieobjecttype – zoals bestuurlijke besluiten, zaakdossiers, contracten, e‑mailcorrespondentie met burgers, logbestanden en samenwerkingsdocumenten – wordt vastgelegd via welk platform en welke werkruimte het doorgaans wordt beheerd en welke retentiemechanismen daar beschikbaar zijn. Deze brug tussen juridische plicht en technische mogelijkheid vormt het hart van een geloofwaardig retentiebeleid.
Een belangrijk onderdeel van governance is het borgen van consistentie over de hele organisatie. Zonder centrale regie ontstaat het risico dat afzonderlijke afdelingen eigen regels en uitzonderingen inrichten, wat de herleidbaarheid en uitlegbaarheid van beleid ondermijnt. Het governance‑model beschrijft daarom expliciet hoe lokale wensen worden opgehaald, beoordeeld en – waar passend – opgenomen in generieke kaders of in duidelijk gedocumenteerde uitzonderingen. Ook worden verantwoordelijkheden voor uitvoering en controle toegewezen: wie monitort of policies nog aansluiten op de praktijk, wie beoordeelt wijzigingsvoorstellen en wie levert input voor rapportages aan bestuur, toezichthouders en bijvoorbeeld de rekenkamer. Door deze afspraken vooraf helder uit te werken, voorkomt de organisatie dat retentiebeleid een puur technische exercitie wordt en zorgt zij dat het daadwerkelijk gedragen wordt in de organisatiecultuur van de Nederlandse overheid.
Ontwerpen van retentiecategorieën en policies in Microsoft 365
Wanneer governance en juridisch kader helder zijn, kan het bewaarschema worden vertaald naar concrete retentiecategorieën en policies in Microsoft 365. Een veelgemaakte fout is om voor ieder detail in het bewaarschema een afzonderlijke policy te maken. Dat leidt al snel tot tientallen of zelfs honderden regels die nauwelijks te beheren zijn en waarvan het effect voor gebruikers onduidelijk is. Een professionelere aanpak werkt met een beperkt aantal, goed doordachte bouwblokken. Denk aan categorieën als "Algemene zakelijke communicatie", "Besluitvorming en bestuurlijke stukken", "Financiële administratie", "Personeelsdossiers" en "Project- en zaakdossiers". Voor elke categorie wordt vastgesteld welke bewaartermijn geldt, of vernietiging na afloop automatisch of handmatig gebeurt, en of er sprake is van blijvende bewaring. Deze categorieën worden vervolgens vertaald naar retentielabels en policies in Purview Data Lifecycle Management, zodat ze op een consistente manier kunnen worden toegepast op Exchange‑postvakken, SharePoint‑sites, OneDrive‑accounts en Teams‑omgevingen.
Bij het ontwerp van policies wordt expliciet rekening gehouden met de technische karakteristieken van de verschillende workloads. E‑mail is vluchtig en sterk persoonsgebonden, terwijl samenwerkingsdocumenten in SharePoint en Teams vaak deel uitmaken van dossiers of langdurige projecten. OneDrive wordt gebruikt voor persoonlijke werkbestanden die uiteindelijk óf in een zaaksysteem horen óf na beperkte tijd kunnen worden verwijderd. Voor elke workload wordt daarom bepaald welke generieke policies gelden en welke specifieke uitzonderingen nodig zijn. Zo kan voor bestuurderspostvakken een langere bewaartermijn gelden dan voor reguliere medewerkers, en kunnen bepaalde Teams‑omgevingen – bijvoorbeeld voor crisisbeheersing of juridische procedures – onder een strengere retentieregel vallen. Deze keuzes worden niet alleen technisch vastgelegd, maar ook functioneel beschreven in beleid en gebruikersinstructies, zodat medewerkers begrijpen waarom sommige informatie langer zichtbaar is of niet handmatig te verwijderen lijkt.
Een volwassen retentieontwerp maakt bovendien onderscheid tussen de "default" situatie en uitzonderingen. Standaard geldt één of enkele generieke policies die de basis vormen voor alle gebruikers en samenwerkingsomgevingen. Alleen wanneer er aantoonbare juridische of bedrijfsvoeringsredenen zijn, wordt hiervan afgeweken met aanvullende of afwijkende policies. Uitzonderingen worden beperkt in aantal, formeel vastgesteld en voorzien van een duidelijke beschrijving in het governance‑dossier. Daarnaast wordt de samenhang met records management en legal hold geborgd: voor archiefwaardige informatie kan een combinatie van retentielabel en recordstatus nodig zijn, terwijl lopende procedures of onderzoeken tijdelijk via hold‑mechanismen reguliere vernietiging blokkeren. Door deze samenhang expliciet mee te nemen in het ontwerp, ontstaat een retentiestructuur die zowel juridisch houdbaar als operationeel beheersbaar is, en die goed aansluit op het bredere kader van de Nederlandse Baseline voor Veilige Cloud.
Operationalisering, communicatie en geautomatiseerde controles
Gebruik PowerShell-script retention-policies.ps1 (functie Invoke-PolicyOverview) – Geeft een samenvattend overzicht van alle retentiepolicies in Microsoft 365 en vergelijkt deze met verwachte ontwerpcriteria. Ondersteunt zowel veilige lokale debug‑tests als live‑controles in de tenant..
Nadat het retentiebeleid is ontworpen en vertaald naar concrete policies, begint de fase van operationalisering. In deze fase wordt het beleid werkelijk onderdeel van de dagelijkse praktijk. Allereerst moeten beheerders en key‑users begrijpen hoe het beleid in Microsoft 365 werkt: welke policies bestaan, welke labels beschikbaar zijn, hoe automatische en handmatige toepassing zich tot elkaar verhouden en welke uitzonderingen zijn ingericht. Heldere documentatie, praktijkgerichte handleidingen en scenario‑gebaseerde trainingen zijn hierbij cruciaal. Medewerkers moeten bijvoorbeeld weten waarom bepaalde berichten of documenten na verloop van tijd automatisch verdwijnen, waarom sommige dossiers niet handmatig zijn te verwijderen en hoe zij archiefwaardige informatie op de juiste plek onderbrengen. Deze uitleg wordt afgestemd op verschillende doelgroepen: van IT‑beheerders en servicedeskmedewerkers tot zaakbehandelaars, beleidsmedewerkers en bestuursondersteuning.
Daarnaast is structurele monitoring nodig om te bewaken dat het beleid in de praktijk nog steeds correct is geïmplementeerd. Configuraties in Microsoft 365 veranderen door migraties, nieuwe werkruimtes, licentiewijzigingen en organisatorische herstructureringen. Zonder periodieke controles kunnen beleidsleemtes ontstaan: nieuwe Teams‑omgevingen die buiten retentiebeleid vallen, SharePoint‑sites die met afwijkende instellingen zijn aangemaakt of policies die per ongeluk zijn uitgeschakeld. Met Security & Compliance PowerShell kan de organisatie daarom geautomatiseerde controles inrichten. Het bijbehorende script `retention-policies.ps1` is ontworpen om een overzichtelijke rapportage te genereren van alle bestaande retentiepolicies, inclusief relevante eigenschappen zoals naamgeving, dekking per workload en aanwezigheid van retentieregels. In debug‑modus kan dezelfde logica lokaal worden getest zonder verbinding met Microsoft 365, wat veilige ontwikkeling en validatie van de controlelogica mogelijk maakt.
De uitkomsten van deze controles worden opgenomen in de reguliere governance‑cyclus. Periodieke rapportages worden gedeeld met CISO, FG, CIO en informatiebeheerders, en waar nodig besproken in architectuur- en stuurgroepen. Afwijkingen – zoals ontbrekende policies voor bepaalde workloads of inconsistenties in naamgeving en bewaartermijnen – worden vastgelegd als formele bevindingen met toegewezen eigenaar, impactanalyse en beoogde oplostermijn. Door resultaten bovendien te koppelen aan dashboards of GRC‑oplossingen ontstaat een doorlopend beeld van de volwassenheid van retentiebeleid in Microsoft 365. Zo groeit retentie van een eenmalig project uit tot een continu verbeterproces, waarin beleid, techniek en organisatie elkaar versterken en de Nederlandse overheid aantoonbaar zorgvuldig omgaat met haar digitale informatie.
Compliance & Frameworks
- BIO: 12.04, 18.01 - Borg systematisch beheer van informatie en bewaartermijnen, inclusief logging, archivering en vernietiging van digitale overheidsinformatie op basis van vastgestelde retentiebeleid.
- ISO 27001:2022: A.5.1, A.8.2.2, A.12.4.1 - Informatiebeveiligingsbeleid, classificatie en beheer van informatie-activa en logging gedurende de volledige levenscyclus, vertaald naar concreet retentiebeleid in Microsoft 365.
- NIS2: Artikel - Doorlopende risicobeheersmaatregelen, logging en bewaring van informatie ter ondersteuning van incidentrespons, toezicht en verantwoording bij essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzicht en kwaliteitscontrole van retentiebeleid in Microsoft 365
.DESCRIPTION
Dit script geeft een gestructureerd overzicht van retentiepolicies in Microsoft 365
en toetst in hoeverre de inrichting aansluit op een aantal basisontwerpcriteria:
duidelijke naamgeving, aanwezigheid van retentieregels en dekking van kernwerkbelastingen.
Het script hoort bij het artikel 'Ontwerp en governance van retentiebeleid in Microsoft 365'
binnen de Nederlandse Baseline voor Veilige Cloud en ondersteunt CISO, FG, informatiebeheerders
en technische beheerders bij periodieke kwaliteitscontroles.
.NOTES
Filename: retention-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Version: 1.0
Related JSON: content/m365/compliance/retention-policies.json
Category: compliance
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\retention-policies.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding met Microsoft 365 en toont voorbeeldgegevens.
.EXAMPLE
.\retention-policies.ps1 -Monitoring
Haalt live retentiepolicies op via Security & Compliance PowerShell en toont een samenvatting.
.EXAMPLE
.\retention-policies.ps1 -RemediationGuidance
Toont richtlijnen en voorbeeldstappen om naamgeving, dekking en ontwerp van policies te verbeteren.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een controle uit op het huidige retentiebeleid")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Toon remediatie-richtlijnen en voorbeeldstappen voor verbeterd ontwerp")]
[switch]$RemediationGuidance,
[Parameter(HelpMessage = "Toon welke acties u zou nemen zonder wijzigingen in de tenant")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een veilige lokale test uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Retention Policies – Ontwerp en governance" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
$script:ExpectedCoreWorkloads = @(
"Exchange",
"SharePoint",
"OneDrive",
"ModernGroups"
)
function Connect-ComplianceService {
<#
.SYNOPSIS
Maakt verbinding met Microsoft Purview (Security & Compliance).
.DESCRIPTION
Gebruikt Connect-IPPSSession uit de ExchangeOnlineManagement-module.
#>
[CmdletBinding()]
param()
Write-Host "Verbinding maken met Microsoft Purview (Security & Compliance)..." -ForegroundColor Gray
Connect-IPPSSession -ShowBanner:$false -ErrorAction Stop | Out-Null
}
function Get-RetentionPolicyDesignOverview {
<#
.SYNOPSIS
Haalt retentiepolicies en bijbehorende regels op.
.DESCRIPTION
Combineert RetentionCompliancePolicy en RetentionComplianceRule tot een overzicht
met dekking per workload, retentieduur en ontwerpkwaliteitsindicatoren.
.OUTPUTS
PSCustomObject per policy.
#>
[CmdletBinding()]
param()
$policies = Get-RetentionCompliancePolicy -ErrorAction Stop
$rules = Get-RetentionComplianceRule -ErrorAction SilentlyContinue
foreach ($policy in $policies) {
$policyRules = $rules | Where-Object { $_.Policy -eq $policy.Name }
$hasExchange = $policy.ExchangeLocation -and $policy.ExchangeLocation.Count -gt 0
$hasSharePoint = $policy.SharePointLocation -and $policy.SharePointLocation.Count -gt 0
$hasOneDrive = $policy.OneDriveLocation -and $policy.OneDriveLocation.Count -gt 0
$hasModernGroups = $policy.ModernGroupLocation -and $policy.ModernGroupLocation.Count -gt 0
$maxRetentionDays = 0
$hasRetentionRule = $false
foreach ($rule in $policyRules) {
if ($rule.RetentionDuration) {
$hasRetentionRule = $true
$days = [int]$rule.RetentionDuration
if ($days -gt $maxRetentionDays) {
$maxRetentionDays = $days
}
}
}
$hasClearName = $policy.Name -match "retention|bewaar|archief"
[PSCustomObject]@{
Name = $policy.Name
Enabled = $policy.Enabled
HasExchange = $hasExchange
HasSharePoint = $hasSharePoint
HasOneDrive = $hasOneDrive
HasModernGroups = $hasModernGroups
HasRetention = $hasRetentionRule
MaxRetentionDays= $maxRetentionDays
HasClearName = $hasClearName
}
}
}
function Invoke-PolicyOverview {
<#
.SYNOPSIS
Voert de monitoring uit op het retentiebeleid.
.OUTPUTS
PSCustomObject met samenvatting en details.
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "retention-policies.ps1"
Timestamp = Get-Date
TotalPolicies = 0
EnabledPolicies = 0
Policies = @()
Findings = @()
}
try {
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
Write-Host "Voorbeeldgegevens worden gebruikt om logica en rapportage te testen.`n" -ForegroundColor Yellow
$sample = [PSCustomObject]@{
Name = "NBVC M365 Algemene communicatie – 7 jaar retention"
Enabled = $true
HasExchange = $true
HasSharePoint = $true
HasOneDrive = $true
HasModernGroups = $true
HasRetention = $true
MaxRetentionDays= 2555
HasClearName = $true
}
$result.TotalPolicies = 1
$result.EnabledPolicies = 1
$result.Policies = @($sample)
}
else {
Connect-ComplianceService
Write-Host "Ophalen van retentiepolicies en regels..." -ForegroundColor Gray
$overview = Get-RetentionPolicyDesignOverview
if (-not $overview) {
$result.Findings += "Er zijn geen retentiepolicies gevonden in Microsoft Purview."
}
else {
$result.TotalPolicies = ($overview | Measure-Object).Count
$result.EnabledPolicies = ($overview | Where-Object { $_.Enabled }).Count
$result.Policies = $overview
$noRetention = $overview | Where-Object { -not $_.HasRetention }
if ($noRetention) {
$count = ($noRetention | Measure-Object).Count
$result.Findings += "$count policies hebben geen retentieregel (RetentionDuration) geconfigureerd."
}
$noCoverage = $overview | Where-Object {
-not $_.HasExchange -or -not $_.HasSharePoint -or -not $_.HasOneDrive -or -not $_.HasModernGroups
}
if ($noCoverage) {
$count = ($noCoverage | Measure-Object).Count
$result.Findings += "$count policies dekken niet alle kernwerkbelastingen (Exchange/SharePoint/OneDrive/Groups)."
}
$unclearNames = $overview | Where-Object { -not $_.HasClearName }
if ($unclearNames) {
$count = ($unclearNames | Measure-Object).Count
$result.Findings += "$count policies hebben geen duidelijke naamgeving waarin retentie of bewaartermijn herkenbaar is."
}
}
}
Write-Host "`nSamenvatting retentiebeleid:" -ForegroundColor Cyan
Write-Host (" Totaal aantal policies : {0}" -f $result.TotalPolicies) -ForegroundColor White
Write-Host (" Actieve policies : {0}" -f $result.EnabledPolicies) -ForegroundColor White
if ($result.Findings.Count -gt 0) {
Write-Host "`nBelangrijkste bevindingen:" -ForegroundColor Yellow
foreach ($finding in $result.Findings) {
Write-Host (" - {0}" -f $finding) -ForegroundColor Yellow
}
}
else {
Write-Host "`nEr zijn geen directe kwaliteitsissues in de basiscontrole gevonden." -ForegroundColor Green
}
return $result
}
catch {
Write-Host "`n[FAIL] Fout tijdens controle van retentiebeleid: $_" -ForegroundColor Red
throw
}
}
function Show-RemediationGuidance {
<#
.SYNOPSIS
Geeft richtlijnen voor verbetering van ontwerp en governance van retentiebeleid.
.DESCRIPTION
Voert zelf geen wijzigingen door, maar beschrijft concrete stappen en voorbeeldcmdlets.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie-richtlijnen voor retentiebeleid:" -ForegroundColor Cyan
Write-Host "`n1. Governance en documentatie" -ForegroundColor White
Write-Host " - Leg formeel vast wie eigenaar is van het bewaarschema en retentiebeleid." -ForegroundColor Gray
Write-Host " - Beschrijf de koppeling tussen Archiefwet-/AVG-eisen en concrete policies in M365." -ForegroundColor Gray
Write-Host "`n2. Naamgeving en categorieën" -ForegroundColor White
Write-Host " - Gebruik consistente, beschrijvende namen zoals 'NBVC M365 - Algemeen zakelijk - 7 jaar'." -ForegroundColor Gray
Write-Host " - Vermijd cryptische of generieke namen die de bewaartermijn niet duidelijk maken." -ForegroundColor Gray
Write-Host "`n3. Dekking van workloads" -ForegroundColor White
Write-Host " - Zorg dat ten minste één generieke policy Exchange, SharePoint, OneDrive en M365 Groups/Teams afdekt." -ForegroundColor Gray
Write-Host " - Leg uitzonderingen vast in beleid in plaats van impliciet in techniek." -ForegroundColor Gray
Write-Host "`n4. Voorbeeldcmdlets (aanpassen aan eigen beleid, bij voorkeur eerst in acceptatieomgeving)" -ForegroundColor White
Write-Host " # Voorbeeld: hernoem een bestaande policy naar een duidelijkere naam" -ForegroundColor DarkGray
Write-Host " Set-RetentionCompliancePolicy -Identity 'OudeNaam' -Name 'NBVC M365 - Algemeen zakelijk - 7 jaar'" -ForegroundColor DarkGray
Write-Host "" -ForegroundColor DarkGray
Write-Host " # Voorbeeld: controleer snel of een policy een retentieregel heeft" -ForegroundColor DarkGray
Write-Host " Get-RetentionComplianceRule -Policy 'NBVC M365 - Algemeen zakelijk - 7 jaar' | Select-Object Name, RetentionDuration, RetentionComplianceAction" -ForegroundColor DarkGray
if ($WhatIf) {
Write-Host "`nWhatIf: er zijn geen wijzigingen uitgevoerd; gebruik deze voorbeelden alleen na interne afstemming en testen." -ForegroundColor Yellow
}
else {
Write-Host "`nLET OP: dit script voert zelf geen configuratiewijzigingen uit. Alle aanpassingen dienen via gecontroleerde change-processen te verlopen." -ForegroundColor Yellow
}
}
try {
if ($Monitoring) {
$overview = Invoke-PolicyOverview
}
elseif ($RemediationGuidance) {
Show-RemediationGuidance
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Toon een overzicht en basiscontrole van retentiepolicies" -ForegroundColor Gray
Write-Host " -RemediationGuidance: Toon richtlijnen en voorbeelden voor verbeterd ontwerp" -ForegroundColor Gray
Write-Host " -DebugMode : Voer een veilige lokale test uit zonder verbinding met Microsoft 365" -ForegroundColor Gray
Write-Host " -WhatIf : Toon alleen welke acties geadviseerd worden, zonder wijzigingen" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\retention-policies.ps1 -Monitoring -DebugMode" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering is mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = gereserveerd voor toekomstige uitgebreide compliance-evaluaties
# 2 = fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een expliciet ontworpen en in Microsoft 365 geïmplementeerd retentiebeleid is het onmogelijk om bewaartermijnen structureel en aantoonbaar te handhaven. De organisatie loopt daardoor verhoogd risico op privacy-incidenten, archiefrechtelijke tekortkomingen, sancties van toezichthouders en reputatieschade.
Management Samenvatting
Stel een integraal retentiebeleid vast op basis van Archiefwet, AVG en interne selectielijsten, vertaal dit naar beheersbare retentiecategorieën en policies in Microsoft 365 en borg de naleving met documentatie, training en geautomatiseerde controles. Dit artikel en het gekoppelde script `retention-policies.ps1` geven Nederlandse overheidsorganisaties een praktisch kader om retentiebeleid professioneel en toekomstbestendig in te richten.
- Implementatietijd: 130 uur
- FTE required: 0.3 FTE